Dunning-Kruger-Effekt: Selbstüberschätzung bei der IT-Sicherheit ist gefährlich!

Die Bedrohungslage (https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/221025_Lagebericht.html) durch Angriffe im Internet ist so groß wie nie. Trotz dieser Gegebenheit sind nur die allerwenigsten Firmen ganzheitlich gegen externe und interne Bedrohungen gerüstet. Ein in der Regel unterschätzter Grund ist, dass etliche Unternehmen die Gefahren und Konsequenzen von Internetangriffen und Sicherheitslücken unterschätzen und deshalb keinerlei hinreichenden Anreiz sehen, in eine umfassende IT-Sicherheitsstrategie einzuzahlen. Jene kognitive Verzerrung wird in der Psychologie auch als Dunning-Kruger-Effekt betitelt. Was sich dahinter verbirgt, welche Auswirkungen er auf die IT-Sicherheit hat und wie Unternehmen diesen vermeiden beziehungsweise reduzieren können, lesen Sie im nachfolgenden Blogbeitrag.

Der zunehmende Gebrauch digitaler Technologien bewirkt seit Jahren eine tiefgreifende Umwälzung der Businesswelt. Binnen kürzester Zeit wurden bis dato etablierte sowie erfolgreiche Geschäftsmodelle wie auch Geschäftsstrategien abgewertet, frische Geschäftsanforderungen formuliert und der geschäftliche Erfolg in vielen Gebieten ausgeweitet. Zeitgleich hat der Umbruch zu einer Entgrenzung der Kriminalitätsrate geführt. Durch die steigende Diversität netzfähiger Endpunkte, digitaler Portale sowie neuer Technologien eröffnen sich bösartigen Akteuren inzwischen eine Reihe neuer Modi Operandi mit enormen Schadenspotenzialen.  

Auch wenn inzwischen 84 % (https://www.bitkom-research.de/de/pressemitteilung/203-milliarden-euro-schaden-pro-jahr-durch-angriffe-auf-deutsche-unternehmen) der Unternehmen hierzulande von Internetkriminalität betroffen sind, stocken an vielen Orten die Ausgaben für eine IT-Sicherheit. Der Auslöser: Viele Firmen haben eine fehlerhafte Wahrnehmung ihres IT-Schutzes. Somit werden die hausinternen IT-Sicherheitsfähigkeiten des Unternehmens wegen bereits implementierter IT-Sicherheitsmaßnahmen häufig überbewertet und die wirklichen Gefahren des eigenen Unternehmens übergangen oder unterschätzt.

In der Psychologie spricht man in ebendiesem Kontext auch von dem sogenannten Dunning-Kruger-Effekt.

Was genau ist ein Dunning-Kruger-Effekt?

Knapp zusammengefasst, handelt es sich beim Dunning-Kruger-Effekt um ein Mysterium, bei dem Leute eine übermäßige Selbstüberschätzung der eigenen Fähigkeiten haben, insbesondere in Bezug auf ihr Wissen und ihre Kompetenzen in einem bestimmten Gebiet. Das Resultat ist, dass sich jene Menschen fälschlicherweise für fähiger halten als sie in der Tat sind und unter anderem Schwierigkeiten haben, sich objektiv zu beurteilen und Fehler verüben, welche sich suboptimal auf ihre Leistungen auswirken können.

Der Dunning-Kruger-Effekt ist auf die Ergebnisse der beiden Psychologen David Dunning sowie Justin Kruger zurückzuführen. Diese führten 1999 Studien bezüglich der Selbstüberschätzung sowie Außendarstellung von Menschen mit einem erhöhten Selbstbewusstsein durch. Die beiden Forscher kamen zu dem Ergebnis, dass Menschen mit kleinem Wissen sowie wenig Kompetenz häufig dazu tendieren, sich selbst überzubewerten. Diesen fehlt es an entsprechender Selbstreflexion, um die Position sachlich einschätzen zu können sowie zu erkennen, dass andere diesen kognitiv voraus sind.

Fehleinschätzungen sind die Regel! Dem Dunning-Kruger-Effekt begegnet man nahezu überall.

Das vermutlich imposanteste Dunning-Kruger-Effekt-Exempel zeigt sich in der Kriminalgeschichte: Im Jahr 1995 raubte McArthur Wheeler am helllichten Tag zwei Banken aus. Hierbei verzichtete er auf jedwede Art von Maskierung, ungeachtet, dass die Banken kameraüberwacht waren. Als sich danach die Handschellen schlossen, war die eigene Verwunderung beachtlich. Anscheinend war er überzeugt davon, dass ihn Zitronensaft für eine Überwachungstechnik der Banken transparent machen würde. Nach demselben Prinzip funktioniert bekanntermaßen auch eine „Zaubertinte".

Ebenfalls berühmte Beispiele für den Dunning-Kruger-Effekt sind

• Fußballfans, die oftmals glauben, mehr taktisches Bewusstsein und Ahnung vom Spiel zu haben als die kompetenten Trainer
• Das Gros der Autofahrer, welche denken, deutlich besser zu fahren als der Standard.
• Wähler, welche besser wissen, was für ihr Land das Richtige ist und dass sie das Land richtiger leiten könnten als die aktuelle Regierung

Dunning-Kruger-Effekt und IT-Sicherheit: Die Auswirkungen auf einen Blick!

So eine Art der Fehleinschätzung kann hauptsächlich im Feld der IT-Sicherheit eines Unternehmens fatale Konsequenzen haben:

• Erhöhtes Sicherheitsrisiko: Durch das Überschätzen der eigenen Fähigkeiten sowie Kenntnisse in Bezug auf IT-Risiken können Arbeitnehmer*innen leichter von Phishing-Angriffen reingelegt werden und unsichere Passwörter verwenden, was wiederum das Risiko von Sicherheitsverletzungen erhöhen kann.
• Mangelhafte Sicherheitskonfigurationen: Wenn Leute ihre eigene Begabung, Netzwerke sicher zu erstellen, überschätzen, kann dies zu mangelhaften Sicherheitskonfigurationen leiten, die die Gefahr von Angriffen erhöhen.
• Unsichere Software-Installationen: Wenn Leute die persönliche Fähigkeit, sichere Software-Installationen durchzuführen, überschätzen, könnten selbige schadende Software installieren oder Sicherheitsupdates ignorieren, was das Risiko von Angriffsversuchen steigern kann.
• Unsichere Datenspeicherung: Wenn Leute ihre eigene Fertigkeit, sichere Datenspeicherungspraktiken zu verfolgen, überbewerten, können sie essentielle Daten ungeschützt speichern oder sie auf gefahrvollen Geräten speichern, was die Gefahr von Datenverlust oder Datendiebstahl erhöhen kann.
• Mangelnde Wachsamkeit: Wenn Leute ihre eigene Kenntnis, Bedrohungen in der IT-Sicherheit zu erfassen, überschätzen, könnten jene Phishing-Angriffe oder sonstige Bedrohungen übergehen, was ein Risiko von Angriffen maximieren kann.
• Mangelhafte Compliance: Arbeitnehmer können sich nicht der Compliance-Vorschriften bewusst sein oder sie nicht beachten, weil sie meinen, dass sie jene nicht einhalten müssen oder nicht wissen, wie sie jene befolgen sollen. Dies könnte zu schweren Nachwirkungen führen, wenn das Unternehmen gegen Gesetzmäßigkeiten oder Vorschriften verstößt.

Wie kann man den Dunning-Kruger-Effekt verhindern?

Um den Dunning-Kruger-Effekt in der IT-Sicherheit zu meiden, gibt es einige Maßnahmen, die genutzt werden könnten:

1. Regelmäßige Aufklärung und Sensibilisierung: Es ist entscheidend, dass Menschen über den Dunning-Kruger-Effekt und seine Auswirkungen informiert werden, damit diese ihre eigenen Fähigkeiten korrekt einschätzen können.
2. Realistische Einschätzung der eigenen Fähigkeiten: Es ist essenziell, dass Menschen eine reelle Beurteilung ihrer persönlichen Fähigkeiten haben und nicht versuchen, Arbeiten zu übernehmen, welche sie nicht bewerkstelligen können.
3. Einhaltung von Sicherheitsrichtlinien und -verfahren: Es ist essenziell, dass man sich an geregelte Sicherheitsrichtlinien wie auch -verfahren hält, um das Risiko von Sicherheitsverletzungen zu reduzieren.
4. Kommunikation und Zusammenarbeit: In der IT-Sicherheit ist es bedeutend, dass Menschen miteinander kommunizieren wie auch kooperieren, um Gefahren zu verkleinern sowie die Sicherheit zu erhöhen. Dazu gehört auch, dass man sich gegenseitig anerkennt und hilft.
5. Risikomanagement: Ein entscheidender Teil der IT-Sicherheit ist das Risikomanagement, bei welchem Risiken überprüft sowie Maßnahmen ergriffen werden, um jene Risiken zu minimieren oder zu beseitigen. Hierzu zählt auch, dass man die Kompetenzen sowie Fähigkeiten der jeweiligen Teammitglieder beachtet und adäquate Maßnahmen ergreift.

Fazit: Unwissenheit schützt vor Strafe nicht!

Grundsätzlich kann man sagen, dass der Dunning-Kruger-Effekt im Bereich der IT-Sicherheit ein ernstzunehmendes Thema ist, welches es zu vermeiden gilt. Durch geregelte IT-Sicherheitsschulungen können Firmen das Wissen und die Kenntnisse des IT-Teams und Arbeitnehmer*innen im Hinblick auf IT-Sicherheit aufbauen und gewährleisten, dass sie auf dem modernsten Stand sind. Auf diese Weise können sie sicherstellen, dass ihre IT-Teams wie auch Mitarbeiter*innen gut gerüstet sind, um möglichen externen und internen Gefahren entgegenzuwirken und die Sicherheit ihrer IT-Systeme zu gewährleisten.

Wollen auch Sie den Dunning-Kruger-Effekt bei sich im Unternehmen umgehen? Oder haben Sie noch Fragen zum Thema? Sprechen Sie mit uns.